Matcha Meta bestätigt Hack nach Verlust von 16,8 Millionen US-Dollar

Die von 0x entwickelte Swap- und Bridge-Aggregationsplattform Matcha Meta hat laut der Web3-Sicherheitsplattform PeckShield digitale Vermögenswerte im Wert von 16,8 Millionen US-Dollar verloren.

Matcha Meta gab am Montag bekannt, dass es am Wochenende Opfer eines Sicherheitsvorfalls wurde. Angreifer erbeuteten Token von einem externen Aggregator namens SwapNet, der in die Matcha Meta-Oberfläche integriert war. Die Plattform wies darauf hin, dass Nutzer, die die Funktion „Einmalige Genehmigungen“ deaktiviert und einzelnen Aggregatoren direkte Token-Berechtigungen erteilt hatten, Gefahr liefen, ihre Guthaben zu verlieren.

Uns ist eindent mit SwapNet bekannt, dem Benutzer von Matcha Meta möglicherweise ausgesetzt waren, wenn sie die einmalige Genehmigung deaktiviert hatten

Wir stehen in Kontakt mit dem SwapNet-Team, und dieses hat seinetracvorübergehend deaktiviert

Das Team ermittelt aktiv und wird weitere Informationen bereitstellen…

— Matcha Meta 🎆 (@matchametaxyz) 25. Januar 2026

In einer Stellungnahme zu X erklärte MM, man sei auf verdächtige Aktivitäten aufmerksam geworden, nachdem in den Transaktionsaufzeichnungen große, unautorisierte Token-Bewegungen aus dem Router-tracvon SwapNet aufgetaucht waren. Die Plattform bestätigte, das SwapNet-Team kontaktiert zu haben, welches seinetracvorübergehend deaktiviert habe, um weitere Verluste zu verhindern. 

Ein Hacker von Matcha Meta tauschte 3.000 Ether-Münzen gegen Münzen von Opfern

Laut dem Blockchain-Sicherheitsunternehmen PeckShield hat der Angreifer Gelder durch Token-Genehmigungen und -Tauschgeschäfte abgezogen. Er transferierte etwa 10,5 Millionen USDC von Opferadressen auf der Base-Blockchain, einer Ether-Layer-2-Blockchain, und tauschte die Stablecoins anschließend gegen 3.655 Ether, wodurch der Wert in eine liquidere Währung konsolidiert wurde.

Nach Abschluss der Tauschvorgänge begann der Angreifer, Ether von Base in das Ethereum Mainnet zu transferieren, um Transaktionsspuren zu verwischen. Bridging ist der Prozess der Übertragung von Vermögenswerten zwischen Blockchains mithilfe von Smarttracoder Zwischenprotokollen. Obwohl dies in den meisten Fällen als „legitim“ gilt, nutzen Hacker diese Methode, da sie die tracihrer Operationen nahezu unmöglich macht.

Der Täter hatte zuvor Token-Berechtigungen erteilt, um Gelder ohne die Unterschrift des Nutzers zu transferieren. Dadurch erhält ein Smart Contract trac , die Token auszugeben. Ist die Berechtigung unbegrenzt, kann ein manipulierter oder kompromittierter Contract trac Gelder bis zum vollständigen Verbrauch des Guthabens abziehen.

Matcha Meta gab an, dass Nutzer, die über das Einmalgenehmigungssystem mit der Plattform interagierten, nicht betroffen waren. Diese Funktion leitet Token-Berechtigungen über die AllowanceHolder- und Settler-tracvon 0x und begrenzt so das Risiko eines Händlers, indem Genehmigungen nur für eine einzelne Transaktion erteilt werden. 

„Nach Rücksprache mit dem Protokollteam von 0x haben wir bestätigt, dass derdent nicht mit AllowanceHolder- oder Settler-tracvon 0x in Zusammenhang stand“, schrieb Matcha Meta später auf X. Das Unternehmen fügte hinzu, dass Nutzer, die Einmalgenehmigungen deaktiviert und direkte Limits für Aggregator-tracfestgelegt haben, „die Risiken der jeweiligen Aggregatoren übernehmen“

Nach Rücksprache mit dem Protokollteam von 0x haben wir bestätigt, dass derdent nicht mit den AllowanceHolder- oder Settler-tracvon 0x in Zusammenhang steht.

Nutzer, die über die Einmalgenehmigung mit Matcha Meta interagiert haben, sind somit sicher.

Nutzer, die die Einmalzahlung deaktiviert haben… https://t.co/VQVmj4LL0F

— Matcha Meta 🎆 (@matchametaxyz) 25. Januar 2026

Die DEX-Tauschplattform hat die Möglichkeit für Benutzer entfernt, über ihre Schnittstelle direkte Berechtigungen für Aggregatoren festzulegen, und gleichzeitig die Community aufgefordert, alle bestehenden Berechtigungen für den Router-tracvon SwapNet zu widerrufen. 

Hacks von SmarttracDeFi Bereich werden auch 2026 noch bestehen

Der Matcha Meta-dent ereignete sich nur sechs Tage, nachdem Makina Finance, ein dezentrales Finanzprotokoll mit automatisierten Ausführungsfunktionen, einen Netzwerkangriff erlitten hatte, der den Liquiditätspool von DUSD/USDC auf Curve leerte.

Wie Cryptopolitan berichtete trac rund 1.299 Ether aus Makinas Curve-Stablecoin-Pool, was damals einem Wert von 4,13 Millionen US-Dollar entsprach. Der Angriff betraf Liquiditätsanbieter ohne Verwahrung, die mit einem On-Chain-Preisorakel verbunden waren – einem Datenfeed, der von Smart Contracts zur Bestimmung von Vermögenswerten genutzt trac .

Laut dem Blockchain-Analyseunternehmen Elliptic geht es bei einem Großteil der heutigen Geldwäsche im Darknet um Coin-Swap-Dienste, darunter Sofortbörsen, die über eigenständige Websites oder Telegram-Kanäle betrieben werden.

Im vergangenen Jahr meldete der dezentrale Börsenaggregator CoWSwap einen Sicherheitsvorfall, der zu Verlusten von über 180.000 US-Dollar führte. DAI im Wert von rund 180.000 US-Dollar wurden über den SmarttracGPv2Settlement von CoWSwap gestohlen.

Die Plattform gab an, dass der kompromittiertetraclediglich Zugriff auf Protokollgebühren hatte, die innerhalb einer Woche durch die Ausnutzung eines Solver-Kontos eingenommen wurden. Im CoWSwap-Modell unterzeichnen Nutzer Handelsabsichten, die an Drittanbieter-Solver weitergeleitet werden. Diese konkurrieren um die besten Preise und speichern die eingenommenen Gebühren.

Die klügsten Krypto-Köpfe lesen bereits unseren Newsletter. Lust auf mehr? Dann schließen Sie sich ihnen an .